[LAB] 攻击模拟 / 钓鱼网站检测
钓鱼网站识别测试
识别下列 URL,判断哪些是钓鱼网站。训练从域名、URL结构、SSL证书等多维度辨别真伪。
得分:
0
/ 5 题
[MAIL] 你收到一封邮件,声称"Apple ID 账户异常,需立即验证",邮件内链接如下:
https://apple-support-login.com/verify?id=a1b2c3&email=user@qq.com
邮件声称:"您的 Apple ID 将被永久停用,请立即验证。"
[MAIL] 你收到一封邀请加入 GitHub 组织的邮件,链接指向:
https://github.com/login?return_to=https%3A%2F%2Fgithub.com%2Forg%2Fsecurity-team%2Finvitations%2F12345
这是 GitHub 官方登录跳转链接,
return_to 参数指向真实 URL。[SMS] 你收到一条短信:"您有一笔异地登录,[工商银行]请确认:'
https://icbc-security.net/mobile/verify.do?card=622202****1234&amount=9999
短信伪装成工商银行安全验证,实际是钓鱼网站收集银行卡信息。
[IT] IT 部门发来邮件让你更新 Office 365 密码:
https://microsoft-365-login.live/auth/signin?tid=87654321&redirect_uri=https%3A%2F%2Fportal.office.com
虽然页面看起来像 Microsoft,但域名
microsoft-365-login.live 与官方不符。📖 你想登录豆瓣查看书评,搜索后点击:
https://accounts.douban.com/passport/login?redir=https%3A%2F%2Fwww.douban.com%2Fgroup%2Ftopic%2F123456%2F&source=group_navigation
accounts.douban.com 是豆瓣官方账号服务域名,return_to 指向豆瓣自己的域名。📚 URL 安全分析 checklist
❌ 警惕信号
- ✗ 非官方域名后缀
- ✗ 额外的前缀/后缀
- ✗ IP 地址代替域名
- ✗ URL 编码混淆
- ✗ 短链接(隐藏真实URL)
- ✗ 拼写错误(g00gle vs google)
✅ 安全信号
- ✓ 官方顶级域名
- ✓ HTTPS 证书可信
- ✓ 域名与品牌一致
- ✓ 无可疑参数
- ✓ 无拼写错误
- ✓ 来源邮件地址可信
💡 最可靠的做法:不要点击邮件/短信中的链接,直接在浏览器手动输入官方网站域名,或从收藏夹访问。